cookies.txt      .scr

ただのテキストファイルのようだ

個人情報抜き取りアプリ(Android用)でも見てみた

序章

20XX年、夏のとある日、やつはやってきた。
それは、一件のメールから始まった。

Android端末専用
●携帯画面を太陽光に向けるだけで充電ができてしまうナイスなアプリが登場

(中略)
対応機種
Android端末
※現在、対応できる機種に制限があります。
http://xxxxxxxxxxxxx

そう、どう考えても太陽光発電なんて
たかが1と0の組合せのソフトウェアにできるはずなどない。
間違いない、悪意あるアプリだ。

という感じで中を見てみることにしました。

下準備

そいつはGooglaPlayでは配布されていなく、
普通にapk配布されていたので、PCからでも簡単にDLできた。

あとはapkからjavaファイル化。
ツール2つでできちゃう。お手軽ね。

早速中を見てみる。
(Java未経験者にとってはむずい)

読んだ結果

こいつがファイル内に持っている日本語文字は、
「しばらくお待ちください」的なのと、非対応機種の旨、それから「終了」のみ。
つまり、初めっから充電させる気なんてさらさらない。(当たり前か)

次、リソースにURLを発見。
apkダウンロードしたところと同じドメインで、かつphpファイル。怪しすぎる。

実際にメインの処理を読んでみると、確かにgetBatLevelなる関数はあれど、return一行で終わっている。

もっと進むとContactsContract.Contacts.CONTENT_URIというのをqueryしていて、
まあいろいろとしてました。

  • 自分の電話番号取得
  • 端末内の電話帳取得

その各々について

    • ユニークID取得
    • 電話番号取得
    • メールアドレス取得
    • 表示名(たぶん本名入力欄だと。)取得
  • アプリ名の取得

で、配列化し、さっきのURLへPOST。

感想

典型的ですね。
誰もが思い描くスパイウェアじゃないかと思われます。

アプリ名を送っている点についてなのですが、ほかの方からの情報によると、
どうも同じ出所から複数このようなアプリが出ているようなのです。

たぶんこの取得したデータを元に、またインストールを促すメールを送るのでしょう。

つまり、自分は本名とメールアドレス電話番号などを、
友達の端末から抜き取られたという可能性が高いと思われます。どんまい。




ksnctfさんのapk解析の経験がとても役立ちました。ありがとうございました。